一種構建可信硬件信任鏈的方法以及裝置制造方法及圖紙

本發明專利技術公開了一種構建可信硬件信任鏈的方法以及裝置，基板管理控制器上電啟動，通過上電時序控制程序，使CPU處于斷電狀態；將可信芯片作為可信根，對基板管理控制器進行完整性度量，判斷基板管理控制器是否可信；當判斷出基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷初始引導模塊是否可信；當判斷出初始引導模塊可信時，基板管理控制器通過上電時序控制程序控制電源給CPU上電；將基板管理控制器作為核心度量根，完成BIOS層面的完整性度量?；诨骞芾砜刂破飨扔贑PU執行，對基板管理控制器進行可信度量，當基板管理控制器可信后，則以基板管理控制器作為核心度量根?？梢姡旧暾堄欣谔岣哂嬎憬K端的安全性。

Method and device for constructing trusted chain of trusted hardware

The invention discloses a method for building trust chain and a trusted hardware device, the substrate management controller on the electric start, through sequential power control procedures, the CPU in the off state; trusted chip as the root of trust, integrity measurement of substrate management controller, judge the baseboard management controller when the substrate is credible; trusted management controller of BIOS, the initial guide module integrity measurement, the initial guidance module is credible; when the initial trusted boot module, a baseboard management controller through power sequence control program control power supply to the CPU electric baseboard management controller as the core; the measure of root, complete BIOS level metric. Based on the management of the baseboard controller before CPU, the trust management of the baseboard management controller is carried out. After the baseboard management controller is trusted, the baseboard management controller is taken as the core measurement root. Therefore, this application is beneficial to improve the security of computing terminal.

【技術實現步驟摘要】
一種構建可信硬件信任鏈的方法以及裝置
本專利技術涉及可信計算
，特別是涉及一種構建可信硬件信任鏈的方法以及裝置。
技術介紹
目前，計算機終端架構缺乏相應的安全機制，可能會使得整個計算平臺很容易被攻擊，進而使計算平臺處于不可控狀態。故可以從底層硬件、固件、及操作系統應用程序等方面采取綜合措施，以提高計算平臺的安全性?？尚庞嬎慵夹g可以在計算機中嵌入可信平臺模塊硬件設備，在計算機運行過程中各個執行階段加入完整性度量機制，以建立完整信任鏈?？尚牌脚_模塊硬件設備可以提供秘密信息硬件保護存儲功能，其可以應用于各個領域，例如黨政、能源等涉密領域。而可信平臺模塊硬件設備可以表現為可信芯片，例如為TPM芯片。底層硬件的信任鏈建立作為完整信任鏈的源端，尤其對度量根的可信度量，是整個信任鏈建立的基礎?，F有的可信度量一般是以可信芯片作為核心度量根，但是，其一般不會對核心度量根進行可信度量，可能導致可信度量的可信度較低，進而使計算終端的安全性較低。如何提高計算終端的安全性是本領域亟待解決的問題。
技術實現思路
本專利技術的目的是提供一種構建可信硬件信任鏈的方法以及裝置，目的在于解決現有技術中計算終端的安全性較低的問題。為解決上述技術問題，本專利技術提供一種構建可信硬件信任鏈的方法，該方法包括：在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現硬件信任鏈的構建。可選地，所述將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信包括：以所述可信芯片作為可信根，對所述基板管理控制器進行完整性度量，得出相應的第一可信度量值；將所述第一可信度量值與預存儲的第一基準值進行比對，判斷是否一致；當一致時，判斷所述基板管理控制器可信；當不一致時，判斷所述基板管理控制器不可信?？蛇x地，所述當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信包括：當所述第一可信度量值和所述第一基準值比對一致時，對所述初始引導模塊進行完整性度量，得出相應的第二可信度量值；將所述第二可信度量值與所述第一可信度量值進行合并，得出相應的第三可信度量值；將所述第三可信度量值與預存儲的第二基準值進行比對，判斷是否一致；當一致時，判斷所述初始引導模塊可信；當不一致時，判斷所述初始引導模塊不可信?？蛇x地，還包括：通過創建網頁界面，對可信狀態進行呈現?？蛇x地，所述可信芯片為TCM可信芯片或TPM可信芯片。此外，本專利技術還提供了一種構建可信硬件信任鏈的裝置，該裝置包括：斷電控制模塊，用于在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；第一判斷模塊，用于將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；第二判斷模塊，用于當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；上電控制模塊，用于當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；度量模塊，用于將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現硬件信任鏈的構建。可選地，所述第一判斷模塊包括：第一度量單元，用于以所述可信芯片作為可信根，對所述基板管理控制器進行完整性度量，得出相應的第一可信度量值；第一比對單元，用于將所述第一可信度量值與預存儲的第一基準值進行比對，判斷是否一致；第一可信判斷單元，用于當一致時，判斷所述基板管理控制器可信；第二可信判斷單元，用于當不一致時，判斷所述基板管理控制器不可信?？蛇x地，所述第二判斷模塊包括：第二度量單元，用于當所述第一可信度量值和所述第一基準值比對一致時，對所述初始引導模塊進行完整性度量，得出相應的第二可信度量值；合并單元，用于將所述第二可信度量值與所述第一可信度量值進行合并，得出相應的第三可信度量值；第二比對單元，用于將所述第三可信度量值與預存儲的第二基準值進行比對，判斷是否一致；第三可信判斷單元，用于當一致時，判斷所述初始引導模塊可信；第四可信判斷單元，用于當不一致時，判斷所述初始引導模塊不可信。可選地，還包括：呈現模塊，用于通過創建網頁界面，對可信狀態進行呈現?？蛇x地，所述可信芯片為TCM可信芯片或TPM可信芯片。本專利技術所提供的一種構建可信硬件信任鏈的方法以及裝置，在基板管理控制器上電啟動之后，上述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；將可信芯片作為可信根，對上述基板管理控制器進行完整性度量，判斷上述基板管理控制器是否可信；當判斷出上述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷上述初始引導模塊是否可信；當判斷出上述初始引導模塊可信時，上述基板管理控制器通過上述上電時序控制程序控制電源給上述CPU上電；將上述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現硬件信任鏈的構建。基于基板管理控制器先于CPU執行，即基板管理控制器先上電。對基板管理控制器進行可信度量，當基板管理控制器可信后，則以基板管理控制器作為核心度量根，即對核心度量根進行可信控制?？梢?，本申請有利于提高計算終端的安全性。附圖說明為了更清楚的說明本專利技術實施例或現有技術的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單的介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本專利技術實施例所提供的構建可信硬件信任鏈方法的一種具體實施方式的流程示意圖；圖2為本專利技術實施例所提供的BMC固件控制上電時序的物理拓撲示意圖；圖3為本專利技術實施例所提供的實現BMC主動度量的結構示意圖；圖4為本專利技術實施例所提供的構建可信硬件信任鏈裝置的結構框圖。具體實施方式為了使本
的人員更好地理解本專利技術方案，下面結合附圖和具體實施方式對本專利技術作進一步的詳細說明。顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例?；诒緦＠夹g中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。請參見圖1，圖1為本專利技術實施例所提供的構建可信硬件信任鏈方法的一種具體實施方式的流程示意圖，該方法包括以下步驟：步驟101：在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；具體地，當接通服務器主板電源之后，基板管理控制器(BaseboardManagementController，BMC)、基本輸入輸出系統(BasicInputOutputSystem，BIOS)以及可信平臺模塊等會先上電啟動。此時，CPU是不會上電的本文檔來自技高網...

【技術保護點】
一種構建可信硬件信任鏈的方法，其特征在于，包括：在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現硬件信任鏈的構建。

【技術特征摘要】
1.一種構建可信硬件信任鏈的方法，其特征在于，包括：在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態；將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現硬件信任鏈的構建。2.如權利要求1所述的方法，其特征在于，所述將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信包括：以所述可信芯片作為可信根，對所述基板管理控制器進行完整性度量，得出相應的第一可信度量值；將所述第一可信度量值與預存儲的第一基準值進行比對，判斷是否一致；當一致時，判斷所述基板管理控制器可信；當不一致時，判斷所述基板管理控制器不可信。3.如權利要求2所述的方法，其特征在于，所述當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信包括：當所述第一可信度量值和所述第一基準值比對一致時，對所述初始引導模塊進行完整性度量，得出相應的第二可信度量值；將所述第二可信度量值與所述第一可信度量值進行合并，得出相應的第三可信度量值；將所述第三可信度量值與預存儲的第二基準值進行比對，判斷是否一致；當一致時，判斷所述初始引導模塊可信；當不一致時，判斷所述初始引導模塊不可信。4.如權利要求1所述的方法，其特征在于，還包括：通過創建網頁界面，對可信狀態進行呈現。5.如權利要求1至4任一項所述的方法，其特征在于，所述可信芯片為TCM可信芯片或TPM可信芯片。6.一種構建可信硬件信任鏈的裝置，其特征在于，包括：斷...

【專利技術屬性】
技術研發人員：趙媛，
申請(專利權)人：浪潮北京電子信息產業有限公司，
類型：發明
國別省市：北京,11